Come ormai noto, il “GDPR” introduce e chiarisce regole ed obblighi in materia di privacy. E lo fa nell’ottica della necessaria osservanza di un importante principio: la responsabilizzazione.

La responsabilizzazione (Accountability)

Le disposizioni sono dichiaratamente intese a responsabilizzare tutti i soggetti e gli attori interessati ai diversi flussi informativi che caratterizzano ogni moderna attività professionale o d’impresa. Non fanno eccezione gli Amministratori di condominio, sia che trattino informazioni per la propria attività professionale, sia che lo facciano nell’ambito della esecuzione delle prestazioni loro demandate con l’incarico ad amministrare.

Tutti coloro che hanno a che fare con dati e informazioni, che riguardino una persona fisica (“Interessato”) già identificata, o comunque identificabile, dovranno infatti conoscere e applicare determinate regole.

Si considerano identificabili anche le persone che possono essere individuate non solo direttamente, ma anche indirettamente. Di conseguenza, sono considerati dati personali anche identificativi come codici, numeri di identificazione, dati relativi all’ubicazione, indirizzi online, caratteristiche fisiologiche, genetiche, psichiche, economiche, culturali o sociali.

Non parliamo quindi solo di “dati” immediatamente identificativi (come nome e cognome), ma anche di “dati” tramite i quali indirettamente si possa risalire ad un soggetto (il codice fiscale, un numero di matricola, la targa della vettura). In campo condominiale, ci riferiamo quindi a tutti i dati, oltre a quelli anagrafici, necessari alla predisposizione e approntamento dell’anagrafe condominiale.

Il nucleo delle disposizioni che riguardano la c.d. “accountability” (responsabilizzazione) prescrive, sostanzialmente, che si debba avere contezza dell’attività svolta e dei rischi che qualsiasi utilizzo (sia cartaceo sia elettronico) delle informazioni possedute potrebbe causare agli interessati, che sono, in definitiva, il vero fulcro della tutela apprestata dalle norme in esame. Tali disposizioni stabiliscono di conseguenza la necessità di mettere in atto “adeguate” misure preventive e organizzative, affinché si limiti il più possibile il rischio di effetti negativi in capo agli interessati.

In sostanza si tratta di prevedere e considerare le problematiche che si potrebbero incontrare durante l’attività professionale, nonché di porre in essere misure di sicurezza e di “responsabilizzazione” nella gestione delle informazioni, così da rendere il flusso conosciuto, gestito e monitorato.

La Trasparenza

Il concetto di responsabilizzazione è legato a quello di “Trasparenza”. I dati personali che si utilizzano durante lo svolgimento dell’attività professionale, sia quando siamo noi a raccoglierli, conservarli e utilizzarli per le nostre finalità, sia quando li si tratti per conto di altri (come avviene per l’Amministratore che, nell’esecuzione dell’incarico, tratta i dati “per conto del Condominio”), devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, come prescritto dall’art. 5, lett. a del GDPR.

Ciò significa che le informazioni e le comunicazioni che riguardano il trattamento dovranno essere facilmente accessibili e comprensibili. Il linguaggio utilizzato dovrà essere semplice e chiaro, anche a seconda dell’interlocutore. Le comunicazioni dirette ad un minore, ad esempio, dovranno tenere conto di una possibile limitata capacità di comprensione, così come potrebbe del resto avvenire nei confronti di stranieri o di persone anziane o malate.

Trasparenza significa inoltre rispondere in modo adeguato e tempestivo alle richieste degli interessati che vogliano conoscere quali dati si posseggono, l’uso che ne verrà fatto, le modalità di trattamento, le persone che vi hanno accesso, i luoghi e i processi di sicurezza che si è deciso di applicare per salvaguardarne la riservatezza e l’integrità.

Questo principio implica anche che tale trattamento poggi su basi giuridiche e finalità legittime e determinate, che non potranno essere modificate senza avvertire l’interessato.

Responsabilizzazione e trasparenza nel trattamento significano inoltre aggiornamento. Possiamo ben dire, infatti, che un sistema di sicurezza elettronico per l’accesso alla nostra casella di posta elettronica sia oggi adeguato a proteggere alcune funzioni, o ancora che l’antivirus sia aggiornato e che il back up ci preservi da eventuali problemi. Ma questi sistemi saranno ancora adeguati tra due mesi?

L’aggiornamento riguarda anche le persone con l’ausilio delle quali svolgiamo le nostre attività lavorative. I nostri incaricati, le nostre segretarie e i nostri collaboratori dovranno quindi essere aggiornati sia in tema di tutela della privacy, sia sui modelli e i sistemi di lavoro che abbiamo deciso di utilizzare. Allo stesso modo, le società esterne con le quali collaboriamo devono poter dimostrare di aver adottato misure adeguate al rispetto della privacy dei nostri clienti.

Come è facile intuire, la responsabilizzazione è un processo costante, che deve essere adottato anche prima di iniziare i trattamenti, per poi proseguire nel corso degli stessi: è questo il significato dei termini privacy by design (privacy sin dalla progettazione) e privacy by default (privacy nel corso del trattamento, per impostazione predefinita).

La necessità di approfondire questo radicale cambiamento diventa perciò fondamentale. Rischieremmo altrimenti di rimanere in balia di informazioni parziali e insufficienti, facilmente superabili dai nostri concorrenti, e di incorrere in possibili gravi sanzioni.

Ma niente paura, torneremo su questo discorso la prossima settimana!

Avv. Andrea Broglia

 

Articoli correlati: https://www.veryfastpeople.it/liceita-e-basi-giuridiche-del-trattamento/